Cyber Security – Hype-Thema oder fundamental wichtig?

Es vergeht inzwischen fast kein Tag ohne Berichterstattung zu Vorfällen, die im Zusammenhang mit der Sicherheit von Computersystemen steht. Das ist einerseits zu begrüssen, andererseits leider eine Folge der Nachlässigkeit der IT-Industrie einerseits, aber auch der Kunden andererseits, die Sicherheit als grundsätzliche Anforderung in Produkten und Dienstleistungen umzusetzen.

Es war anlässlich der Berichterstattung zu Heartbleed ca. im April 2014, als mir bewusst wurde, dass das Thema Cybersecurity endlich in der Gesellschaft angekommen ist. In den Nachrichten des Radiosenders DRS3 wurde um 18.00 Uhr davor gewarnt, dass eine Schwachstelle im Verschlüsselungsprotokoll bzw. im Programmcode der Software openSSL gefunden wurde und «grosse Teile des Internet» gefährdet sind. Es wurde geraten, möglichst rasch und sobald verfügbar auf den eigenen Computern die entsprechenden Aktualisierungen/Updates zu installieren. Ich stutzte kurz, verwundert darüber, dass ich offenbar nicht DRS3 im Radio hörte, sondern irgendeine Sendung über Technik und Computer. Das Display im Auto zeigte jedoch deutlich an, dass ich in der Tat den üblichen Radiosender am hören war. Wäre Computer-Sicherheit schon viel früher ernst(er) genommen worden, wären wir heute möglicherweise von einigen grossen Daten-Lecks verschont geblieben – und es sieht meines Erachtens immer noch so aus, als ob die Schmerzgrenze noch nicht erreicht ist.

In meinen verschiedenen Tätigkeiten – als Dozent für Informationssicherheit und als Vorstandsmitglied von Vereinen und Mitglied in Kommissionen und Beiräten rund um Cybersecurity – habe ich immer wieder die Ehre, Vorträge vor Fachpublikum halten zu dürfen. Dabei gehe ich bewusst auf grundsätzliche Aspekte des Themas ein – besonders am Herzen liegt mir die Positionierung und Erläuterung der Wichtigkeit des Themas Informationssicherheit und ICT-Security. Inzwischen ist Ihnen vielleicht auch aufgefallen, dass ich verschiedene Bezeichnungen für das Thema «Sicherheit im Kontext von Informationen» verwendet habe. Eine kurze Erläuterung der Bedeutung dieser unterschiedlichen Bezeichnungen folgt am Ende des Artikels.

Zurück zur Wichtigkeit von Security: In verschiedenen Studiengängen wird zur Erläuterung der Bedürfnisse der Menschen die Maslow’sche Bedürfnispyramide gezeigt.

Maslow’sche Bedürfnispyramide, aus https://de.wikipedia.org/wiki/Maslowsche_Bedürfnishierarchie

Wie Sie dort sehen, ist Sicherheit an zweiter Stelle der Bedürfnisse eines Menschen – direkt nach den physiologischen Bedürfnissen, denen wir uns als biologisches Wesen kaum entziehen können und sozusagen «seit Entstehung» implizit vorhanden sind. Natürlich kann und soll die Sicherheit in verschiedenen Typisierungen unterschiedlich gewichtet werden – die körperliche Unversehrtheit ist wohl höher zu gewichten als die Sicherheit meiner Bankkonto-Daten. Andererseits: Betrachten wir die rasche Entwicklung und Durchdringung der Technologien, die zunehmend nicht mehr nur unser Leben erleichtern und unterstützen, sondern zunehmend beeinflussen, steuern und möglicherweise bald auch ermöglichen, wird klar, wie wichtig das Thema «Security» von Computern und anderen vernetzten Systemen ist und in Zukunft noch zunehmen wird.

Schon heute sind teil-autonome Fahrzeuge auf Strassen unterwegs, medizinische Diagnosen und Operationen werden mit Hilfe von Computern unterstützt, beschleunigt und erleichtert; die sog. «künstliche Intelligenz» schreitet rasch voran. Entsprechend ärgere ich mich über Nachrichten zur mangelhaften Sicherheit von medizinischen Systemen und Steuersystemen von Waffen, die haufenweise Schwachstellen enthalten. Vor einigen Jahren waren solche Systeme selten oder nur unter sich vernetzt.

Heute muss man davon ausgehen, dass jedes netzwerkfähige Gerät mit dem Internet verbunden wird, ob zweckmässig oder nicht.

Die Exponiertheit für bösartige Manipulationen und Angriffe auf Computersysteme aller Art steigt entsprechend exponenziell.

Die gute Nachricht: es tut sich was …

… doch nicht schnell genug. Insbesondere andere Länder ausserhalb der Schweiz sind bezüglich des Bewusstseins und der Entwicklung bereits einige Schritte weiter, während in der Schweiz – hoffentlich nicht mehr allzu lange – debattiert und gefordert wird, was und wer in der Cybersicherheit etwas machen soll. Manchmal habe ich dabei den Eindruck, als ob das Thema gerade «hype» ist und deshalb verschiedene Exponenten sich darauf stürzen – leider mit wenig bis keiner relevanten Fachkompetenz, was in realitätsfremden Äusserungen zum Thema endet. Auf nationaler Ebene wurde die Nationale Strategie zum Schutz vor Cyberrisiken (kurz NCS – Nationale Cyberstrategie) in der Version 2 veröffentlicht – der Umsetzungsplan wird dazu gerade erstellt und ist voraussichtlich Anfang 2019 verfügbar.

Auch in der Aus- und Weiterbildung tut sich in der Schweiz einiges – bereits mit der NCS 1.0 wurde die Grundlage geschaffen, spezifische Weiterbildungen zu konzipieren. Ein erstes Ergebnis ist die höhere Fachprüfung zum «Eidgenössisch dipomierten ICT-Security Experten», ein Fachausweis zum Thema ist in Konzeption. Zudem hat kürzlich an der Hochschule Luzern der Bachelor-Lehrgang zu Informationssicherheit gestartet – die HSLU hat schon vor mehr als einem Jahrzehnt mit dem Nachdiplomstudium (heute CAS bzw. MAS) zu Informationssicherheit sozusagen Pionier-Arbeit geleistet.

Tun Sie also das Richtige: Nehmen Sie Cybersecurity ernst, bilden Sie ihre Mitarbeitenden aus und sensibilisieren Sie die Belegschaft für das Thema. Machen wir es in Zukunft besser – nicht angefangen mit der Technik, sondern «People, Process, Technology» – und zwar in dieser Reihenfolge!

Cybersecurity-Glossar

Erläuterungen des Autors zu den Fachbegriffen um das Thema Sicherheit:

Sicherheit
Frei sein, Abwesenheit von unerwünschten Ereignissen bzw. Risiken
Informationssicherheit, Information Security: Sicherheit von Informationen (unabhängig davon, mit welchem Medium diese bearbeitet werden – Informationen können auch ohne Computer bearbeitet werden!)

EDV / IT / ICT Sicherheit, ICT Security
Sicherheit von Computersystemen, Netzwerken, «Informationstechnologie», Daten

Daten
(Meist) strukturierte Sammlungen von Zeichen oder Signalen; werden durch «zufügen» von einer spezifischen Bedeutung zu Informationen

Cybersicherheit, Cybersecurity
Sicherheit von vernetzten (Computer)-Systemen; ich erachte Cybersecurity als der moderne Begriff für ICT-Sicherheit, der insbesondere mit dem «Internet der Dinge» und der zunehmenden Vermischung der virtuellen und realen Räume eine eigene Bedeutung bekommt

Datenschutz, Privacy, Data Protection
Eigentlich (semantisch) die Sicherheit von Daten, steht aber aufgrund des gleichnamigen Gesetz (Datenschutzgesetz) spezifisch für den Schutz von personenbezogenen Informationen – in der Schweiz mit dem Datenschutzgesetz (DSG) und in Europa mit der seit Mai 2018 gültigen Datenschutz-Grundverordnung (DSGVO, engl. GDPR) definiert. «Privacy» steht für Privatsphäre und wird oft als Kurzwort für das Thema Datenschutz im Englischen verwendet (abgeleitet aus «privacy law», sinngemäss «Privatsphären-Gesetz»)